Squid não solicitando autenticação

diegobnx
(usa Debian)

Enviado em 12/01/2012 - 21:16h

desculpe descordar de ti mas o que torna o proxy transparente seria:

http_port 3128 transparent

a regra que sitei apenas redireciona o que chegar na porta 80 para porta 3128 (que é a porta do proxy) e nada disso interfere na maneira do proxy trabalhar se vai ser transparente ou não, na minha opnião apenas reforça.

phrich
(usa Slackware)

Enviado em 12/01/2012 - 23:20h

Sim, a linha acima torna o squid transparente, mas para o squid, se vc apenas adicionar esta linha no seu squid.conf ele não fica transparente...

O certo para os "espertinhos" não burlarem a segurança é vc ter as polítcas padrões do iptables como DROP, assim mesmo que o usuário remova as confs de proxy no navegador ele não vai conseguir navegar, a não ser que vc libere as portas 80 e 443 na chain FORWARD no firewall...

Então se vc adicionar esta linha ao seu iptables, não vai adiantar de nada, pelo contrário, talvez atrapalhe e muito...

digo_pk
(usa Red Hat)

Enviado em 02/02/2012 - 17:43h

Pessoal ainda estou com o meu problema quando abro o browser da pagina não pode ser exibida

Segue algumas informações atualizadas sobre o servidor

eth0 = rede interna
eth1 = internet

Squid.conf

http_port 3128

hierarchy_stoplist cgi-bin ?

acl QUERY urlpath_regex cgi-bin \?

no_cache deny QUERY

cache_mem 128 MB

maximum_object_size_in_memory 512 KB

maximum_object_size 512 MB

minimum_object_size 0 KB

cache_swap_low 90

cache_swap_high 95

cache_dir ufs /var/spool/squid3 20000 16 256

cache_access_log /var/log/squid3/access.log

visible_hostname Proxy

refresh_pattern ^ftp: 1440 20% 10080

refresh_pattern ^gopher: 1440 0% 1440

refresh_pattern . 0 20% 4320

auth_param basic realm DIGITE SEU USUARIO E SENHA

auth_param basic program /usr/lib/squid3/ncsa_auth /etc/squid/passwd

auth_param basic children 5

auth_param basic credentialsttl 2 hour

acl all src

acl autenticados proxy_auth REQUIRED

acl manager proto cache_object

acl localhost src 127.0.0.1/32

acl SSL_ports port 443 563

acl Safe_ports port 80

acl Safe_ports port 21

acl Safe_ports port 443 563

acl Safe_ports port 70

acl Safe_ports port 210

acl Safe_ports port 1025-65535

acl Safe_ports port 995

acl Safe_ports port 110

acl Safe_ports port 280

acl Safe_ports port 488

acl Safe_ports port 591

acl Safe_ports port 777

acl Safe_ports port 4443

acl purge method PURGE

acl CONNECT method CONNECT

acl usuarios_livres proxy_auth "/etc/squid3/nivel1"

acl usuarios_bloq proxy_auth "/etc/squid3/nivel2"

acl livre url_regex -i "/etc/squid3/livre"

acl bloq url_regex -i "/etc/squid3/bloq"

acl negra dstdom_regex -i "/etc/squid3/negra"

#http_access deny !autenticados

http_access allow manager localhost

http_access deny manager

http_access deny CONNECT !SSL_ports

http_access deny !Safe_ports

http_access allow purge localhost

http_access deny purge

http_access allow localhost

http_access allow usuarios_livres

http_access allow usuarios_bloq

http_access allow livre

http_access deny usuarios_bloq !bloq

http_access deny negra

http_access allow usuarios_bloq livre

http_access allow autenticados

http_access deny all

error_directory /usr/share/squid3/errors/Portuguese

cache_mgr nome@empresa.com.br

 

Firewall

root@Saturno:~# cat firewall

#!/usr/bin/env bash



echo "1" > /proc/sys/net/ipv4/ip_forward

#ativa roteamento



iptables -F

iptables -t nat -F

iptables -t mangle -F

#limpa regras do firewall



iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE

#ativa o compartilhamento da internet



#iptables -P FORWARD DROP

#nao deixa passar informacoes entre a rede e a internet isolando-as



iptables -A FORWARD -p udp --sport 53 -j ACCEPT

iptables -A FORWARD -p udp --dport 53 -j ACCEPT

#libera acesso ao dns



iptables -A FORWARD -p tcp --sport 21 -j ACCEPT

iptables -A FORWARD -p tcp --dport 21 -j ACCEPT

iptables -A FORWARD -p tcp --sport 443 -j ACCEPT

iptables -A FORWARD -p tcp --dport 443 -j ACCEPT

iptables -A FORWARD -p tcp --sport 210 -j ACCEPT

iptables -A FORWARD -p tcp --dport 210 -j ACCEPT

iptables -A FORWARD -p tcp --sport 995 -j ACCEPT

iptables -A FORWARD -p tcp --dport 995 -j ACCEPT

iptables -A FORWARD -p tcp --sport 110 -j ACCEPT

iptables -A FORWARD -p tcp --dport 110 -j ACCEPT

root@Saturno:~#

 

root@Saturno:~# iptables -nL

Chain INPUT (policy ACCEPT)

target     prot opt source               destination



Chain FORWARD (policy ACCEPT)

target     prot opt source               destination

ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0           udp spt:53

ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0           udp dpt:53

ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp spt:21

ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:21

ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp spt:443

ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:443

ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp spt:210

ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:210

ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp spt:995

ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:995

ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp spt:110

ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:110



Chain OUTPUT (policy ACCEPT)

target     prot opt source               destination

root@Saturno:~# iptables -t nat -nL

Chain PREROUTING (policy ACCEPT)

target     prot opt source               destination



Chain POSTROUTING (policy ACCEPT)

target     prot opt source               destination

MASQUERADE  all  --  0.0.0.0/0            0.0.0.0/0



Chain OUTPUT (policy ACCEPT)

target     prot opt source               destination

root@Saturno:~#

 

phrich
(usa Slackware)

Enviado em 03/02/2012 - 09:45h

É amigão, seu tópico já está gigante e antigo.

Na sua cidade não tem ninguém que possa lhe ajudar?

andrecanhadas
(usa Debian)

Enviado em 03/02/2012 - 16:26h

Cara pelo que vi esta tudo OK com o squid

O que pode estar acontecendo e algo com o DNS

coloque isto no seu /etc/resolv.conf
nameserver 8.8.8.8
nameserver 8.8.4.4

Se não resolver coloca isto no seu squid.conf

dns_nameservers 8.8.8.8
dns_nameservers 8.8.8.4

Depois da um reload no squid

squid3 -k reconfigure

andrecanhadas
(usa Debian)

Enviado em 03/02/2012 - 16:27h

Acho que este esta em segundo lugar em 2012 teve um sobre iptables que chegou a 114 se não me engano rsrsr

digo_pk
(usa Red Hat)

Enviado em 07/02/2012 - 09:57h

fiz as duas coisas e continua da mesma maneira... dando pagina não pode ser exibida

andrecanhadas
(usa Debian)

Enviado em 07/02/2012 - 10:36h

Cara vc esqueceu de liberar o forward na porta 80:

iptables -A FORWARD -p tcp --sport 80 -j ACCEPT

digo_pk
(usa Red Hat)

Enviado em 07/02/2012 - 11:15h

Meu iptables ta assim agora

#--------------------INPUT-------------------------------

-A INPUT -p ALL -s 127.0.0.1 -i lo -j ACCEPT

-A INPUT -p ALL -s 192.168.0.0/24 -i lo -j ACCEPT

-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

-A INPUT -p udp -s 192.168.0.1 --sport 53 -d 187.37.152.2 -j ACCEPT

#-A INPUT -p udp -s 201.6.0.108 --sport 53 -d 187.37.152.2 -j ACCEPT

-A INPUT -i eth1 -f -j LOG --log-prefix "Pacote INPUT fragmentado: "

-A INPUT -i eth1 -f -j DROP

-A INPUT -i eth1 -s 10.0.0.0/8 -j DROP

-A INPUT -i eth1 -s 172.16.0.0/12 -j DROP

-A INPUT -i eth1 -s 224.0.0.0/4 -j DROP

-A INPUT -i eth1 -s 240.0.0.0/5 -j DROP

-A INPUT -p icmp --icmp-type 8 -i eth0 -j ACCEPT

-A INPUT -p icmp --icmp-type 0 -j ACCEPT

-A INPUT -p TCP -i eth0 -s 192.168.0.0/24 --dport 3128 -j ACCEPT

-A INPUT -p TCP -i eth0 -s 192.168.0.0/24 --dport 22 -j ACCEPT

-A INPUT -p TCP --dport 22 -j ACCEPT

-A INPUT -p TCP -i eth1 --sport 80 -j ACCEPT

-A INPUT -p TCP -i eth1 --sport 443 -j ACCEPT

-A INPUT -p TCP -i eth1 --sport 20 -j ACCEPT

-A INPUT -p UDP -i eth1 --sport 21 -j ACCEPT

-A INPUT -p TCP --dport 3128 -j REJECT --reject-with tcp-reset

-A INPUT -j LOG --log-prefix "Pacote INPUT descartado: "

-A INPUT -j DROP

#--------------------------------------------------------

#--------------------FORWARD-----------------------------

-A FORWARD -m state --state INVALID -j DROP

-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT

#-A FORWARD -p udp -s 192.168.0.0/24 -d 201.6.0.112 --dport 53 -j ACCEPT

-A FORWARD -p udp -s 192.168.0.0/24 -d 192.168.0.1 --dport 53 -j ACCEPT

#-A FORWARD -p udp -s 201.6.0.112 --sport 53 -d 192.168.0.0/24 -j ACCEPT

-A FORWARD -p udp -s 192.168.0.1 --sport 53 -d 192.168.0.0/24 -j ACCEPT

-A FORWARD -p TCP -s 192.168.0.0/24 --dport 25 -j ACCEPT

-A FORWARD -p TCP -s 192.168.0.0/24 --dport 110 -j ACCEPT

-A FORWARD -p TCP -s 192.168.0.0/24 --dport 995 -j ACCEPT

-A FORWARD -p TCP -s 192.168.0.0/24 -d 192.168.0.0/24 -j ACCEPT

-A FORWARD -p UDP -s 192.168.0.0/24 -d 192.168.0.0/24 -j ACCEPT

-A FORWARD -p tcp --sport 25 -j ACCEPT

-A FORWARD -p tcp --sport 110 -j ACCEPT

-A FORWARD -p tcp --sport 995 -j ACCEPT

-A FORWARD -p tcp --sport 587 -j ACCEPT

-A FORWARD -p tcp --dport 587 -j ACCEPT

-A FORWARD -p tcp --dport 80 -j ACCEPT

-A FORWARD -p tcp --dport 21 -j ACCEPT

-A FORWARD -p udp --dport 21 -j ACCEPT

-A FORWARD -p tcp --sport 20 -j ACCEPT

-A FORWARD -p tcp --dport 20 -j ACCEPT

-A FORWARD -p udp --dport 20 -j ACCEPT

-A FORWARD -j LOG --log-prefix "Pacote FORWARD descartado: "

-A FORWARD -j DROP

COMMIT

 

root@Saturno:~# iptables -nL

Chain INPUT (policy ACCEPT)

target     prot opt source               destination

ACCEPT     all  --  127.0.0.1            0.0.0.0/0

ACCEPT     all  --  192.168.0.0/24       0.0.0.0/0

ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED

ACCEPT     udp  --  192.168.0.1          187.37.152.2        udp spt:53

LOG        all  -f  0.0.0.0/0            0.0.0.0/0           LOG flags 0 level 4 prefix `Pacote INPUT fragmentado: '

DROP       all  -f  0.0.0.0/0            0.0.0.0/0

DROP       all  --  10.0.0.0/8           0.0.0.0/0

DROP       all  --  172.16.0.0/12        0.0.0.0/0

DROP       all  --  224.0.0.0/4          0.0.0.0/0

DROP       all  --  240.0.0.0/5          0.0.0.0/0

ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0           icmp type 8

ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0           icmp type 0

ACCEPT     tcp  --  192.168.0.0/24       0.0.0.0/0           tcp dpt:3128

ACCEPT     tcp  --  192.168.0.0/24       0.0.0.0/0           tcp dpt:22

ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:22

ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp spt:80

ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp spt:443

ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp spt:20

ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0           udp spt:21

REJECT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:3128 reject-with tcp-reset

LOG        all  --  0.0.0.0/0            0.0.0.0/0           LOG flags 0 level 4 prefix `Pacote INPUT descartado: '

DROP       all  --  0.0.0.0/0            0.0.0.0/0



Chain FORWARD (policy ACCEPT)

target     prot opt source               destination

DROP       all  --  0.0.0.0/0            0.0.0.0/0           state INVALID

ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED

ACCEPT     udp  --  192.168.0.0/24       192.168.0.1         udp dpt:53

ACCEPT     udp  --  192.168.0.1          192.168.0.0/24      udp spt:53

ACCEPT     tcp  --  192.168.0.0/24       0.0.0.0/0           tcp dpt:25

ACCEPT     tcp  --  192.168.0.0/24       0.0.0.0/0           tcp dpt:110

ACCEPT     tcp  --  192.168.0.0/24       0.0.0.0/0           tcp dpt:995

ACCEPT     tcp  --  192.168.0.0/24       192.168.0.0/24

ACCEPT     udp  --  192.168.0.0/24       192.168.0.0/24

ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp spt:25

ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp spt:110

ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp spt:995

ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp spt:587

ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:587

ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:80

ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:21

ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0           udp dpt:21

ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp spt:20

ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:20

ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0           udp dpt:20

LOG        all  --  0.0.0.0/0            0.0.0.0/0           LOG flags 0 level 4 prefix `Pacote FORWARD descartado: '

DROP       all  --  0.0.0.0/0            0.0.0.0/0



Chain OUTPUT (policy ACCEPT)

target     prot opt source               destination

root@Saturno:~#

 

andrecanhadas
(usa Debian)

Enviado em 07/02/2012 - 11:32h

Pelo que vi agora só falta desviar a porta 80 para o squid para evitar navegação sem proxy:


/sbin/iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128

Onde eth0=Redelocal

e veja se navega:

digo_pk
(usa Red Hat)

Enviado em 08/02/2012 - 09:24h

Uma coisa que eu não comentei aqui é que meu server não ta ligado diretamente na internet, ele ta ligado em um d-link... pelos meus conhecimentos isso não faria diferença. Se alguém ai souber de algum problema que isso cause me avise por favor